麦青儿 - 2017-5-14 14:30:00
病毒背景介绍
2017年5 月12 日晚上20 时左右,全球爆发大规模蠕虫勒索软件感染事件,用户只要开机上网就可被攻击。五个小时内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才能解密恢复文件,这场攻击甚至造成了国内大量教学系统瘫痪,包括校园一卡通系统。
本周末,瑞星公司为应对本次病毒成立应急处理小组,瑞星产品全线进行了紧急升级,提供全方位解决方案并开通服务专线。
由于病毒爆发是从周五晚间开始,因此,很多电脑处于关机状态,但到了周一,请广大用户不要轻易开机以及联网,请按照以下“周一开机指南”操作。
一、准备工作
认真阅读瑞星公司发布的关于“WanaCrypt”蠕虫敲诈病毒的文章,了解该病毒的基本原理及危害。
病毒专题地址:http://www.rising.com.cn/2017/eb/
二、内网全局灭活
原理:通过“WanaCrypt”蠕虫敲诈病毒的“域名”开关灭活
该病毒的触发机制是否能访问iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名,如果访问成功,则不会触发勒索功能。
因此,网管人员可以先在隔离网中建立灭活域名,搭建内部解析服务。可以通过在内部网络搭建DNS Server,将iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名地址解析到内网WEB Server的IP地址,同时WEB Server可以接受该域名的连接请求,从而实现免疫。
步骤:管理员在内网内配置DNS服务器
配置域名iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,将其解析到网络内部可访问任意WEB服务器(80端口)即可。
注:不建议隔离网用户直接连接互联网方式进行灭活。
三、开机
准备工作:下载瑞星“永恒之蓝”免疫工具。
下载地址1:http://download.rising.net.cn/zsgj/EternalBluemianyi.exe
下载地址2:https://pan.baidu.com/s/1kVoNT8F
1、首先必须切断网络,即拔掉网线,确保计算机处于断网状态;
2、启动计算机,等待系统进入;
3、进入系统后,运行瑞星“永恒之蓝”免疫工具,点击“一键搞定”即可。
当然,广大用户可以手动方法操作,首先开启Windows自带的系统防火墙,并配置相应规则,具体操作如下:
1)WindowsXP 防火墙设置方法:
2)Win7/Win8/Win10防火墙设置方法:
启用防火墙
高级设置
新建入站规则
创建端口过滤规则
指定协议类型和端口号
阻止连接
4、使用最新版本瑞星杀毒软件进行全盘杀毒。
附1:
如果仍在存在问题或操作有疑问,可以直接咨询瑞星紧急服务热线
瑞星客服联系方式:
在线咨询:http://www.sobot.com/chat/h5/index.html?sysNum=4519e624e2c143cca6149a0d39a7227b
电话:01082616666 7X24小时紧急联系电话:18600176950 / 15611628752
附2:
如果是内网用户,无法访问外网下载补丁,请找一台可以联网的电脑,下载以下列表中的补丁文件,然后将瑞星“永恒之蓝”免疫工具存放在桌面上,并在桌面上建立一个名为data的文件夹,将下载的补丁拷贝到data文件夹中,运行瑞星“永恒之蓝”免疫工具即可一键搞定。
各版本操作系统补丁下载地址:
微软官方下载地址: https://technet.microsoft.com/zh-cn/library/security/ms17-010
也可从瑞星网站下载:
2017年5 月12 日晚上20 时左右,全球爆发大规模蠕虫勒索软件感染事件,用户只要开机上网就可被攻击。五个小时内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才能解密恢复文件,这场攻击甚至造成了国内大量教学系统瘫痪,包括校园一卡通系统。
本周末,瑞星公司为应对本次病毒成立应急处理小组,瑞星产品全线进行了紧急升级,提供全方位解决方案并开通服务专线。
由于病毒爆发是从周五晚间开始,因此,很多电脑处于关机状态,但到了周一,请广大用户不要轻易开机以及联网,请按照以下“周一开机指南”操作。
一、准备工作
认真阅读瑞星公司发布的关于“WanaCrypt”蠕虫敲诈病毒的文章,了解该病毒的基本原理及危害。
病毒专题地址:http://www.rising.com.cn/2017/eb/
二、内网全局灭活
原理:通过“WanaCrypt”蠕虫敲诈病毒的“域名”开关灭活
该病毒的触发机制是否能访问iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名,如果访问成功,则不会触发勒索功能。
因此,网管人员可以先在隔离网中建立灭活域名,搭建内部解析服务。可以通过在内部网络搭建DNS Server,将iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名地址解析到内网WEB Server的IP地址,同时WEB Server可以接受该域名的连接请求,从而实现免疫。
步骤:管理员在内网内配置DNS服务器
配置域名iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,将其解析到网络内部可访问任意WEB服务器(80端口)即可。
注:不建议隔离网用户直接连接互联网方式进行灭活。
三、开机
准备工作:下载瑞星“永恒之蓝”免疫工具。
下载地址1:http://download.rising.net.cn/zsgj/EternalBluemianyi.exe
下载地址2:https://pan.baidu.com/s/1kVoNT8F
1、首先必须切断网络,即拔掉网线,确保计算机处于断网状态;
2、启动计算机,等待系统进入;
3、进入系统后,运行瑞星“永恒之蓝”免疫工具,点击“一键搞定”即可。
当然,广大用户可以手动方法操作,首先开启Windows自带的系统防火墙,并配置相应规则,具体操作如下:
1)WindowsXP 防火墙设置方法:
2)Win7/Win8/Win10防火墙设置方法:
启用防火墙
高级设置
新建入站规则
创建端口过滤规则
指定协议类型和端口号
阻止连接
4、使用最新版本瑞星杀毒软件进行全盘杀毒。
附1:
如果仍在存在问题或操作有疑问,可以直接咨询瑞星紧急服务热线
瑞星客服联系方式:
在线咨询:http://www.sobot.com/chat/h5/index.html?sysNum=4519e624e2c143cca6149a0d39a7227b
电话:01082616666 7X24小时紧急联系电话:18600176950 / 15611628752
附2:
如果是内网用户,无法访问外网下载补丁,请找一台可以联网的电脑,下载以下列表中的补丁文件,然后将瑞星“永恒之蓝”免疫工具存放在桌面上,并在桌面上建立一个名为data的文件夹,将下载的补丁拷贝到data文件夹中,运行瑞星“永恒之蓝”免疫工具即可一键搞定。
各版本操作系统补丁下载地址:
微软官方下载地址: https://technet.microsoft.com/zh-cn/library/security/ms17-010
也可从瑞星网站下载:
